Capital One 高管分享企业如何构建有效安全计划

首席信息安全官 (CISO) 面临着日益增多的威胁，包括勒索软件、企业电子邮件泄露、基于身份的攻击、网络钓鱼攻击以及数据泄露。构建、实施和维护一套有效的安全方案来应对各种风险，需要耐心和适应能力。
 

许多技术和安全措施可解决组织面临的各种问题，但这些措施的妥善实施需要时间和资源。Capital One 网络安全首席技术官 Mike Benjamin 在 RSAC 会议上表示：“一种方法是将组织的安全计划视为产品，与产品一样，安全计划也有明确的客户，能够满足核心需求，提供有价值的东西。”

 

有些人可能会认为，安全计划不像产品，而更像是成本中心，因为它们是必需的，或者交付成果并不像产品一样能被清晰的量化。但我们亟需扭转将安全视为'合规成本'的陈旧认知，让安全体系真正成为企业运营的DNA。要达成这样的目标，安全管理者需要具备如下能力：
 

1、深刻理解组织需求，强大的安全方案能够在技术、内部工作和整体风险管理之间取得平衡。安全团队必须确保在不影响业务运营的情况下，不出现任何漏洞。 
 

2、建立跨层级沟通机制，确保安全战略有效渗透。
 

3、保持战略定力，敢于对不合理需求说"不"，拒绝那些可能重复或不必要的诱人新产品。

 

 

身份访问管理和身份验证仍然是企业防御的关键组成部分，许多组织正在研究无密码技术来解决其中的一些挑战。例如，无密码技术使用生物识别技术来解锁密钥，或者使用用户可以输入PIN码的物理安全密钥。然而，由于用户使用体验不佳，采用无密码技术仍然存在持续的障碍。虽然它可以显著降低身份验证风险，尤其是防范网络钓鱼的风险，但目前跨平台应用仍然困难重重。
 

无密码化之所以流行，是因为用户并不喜欢密码——这是一场长达数十年的斗争，尽管 Capital One 花了数年时间才在员工中推行无密码化，但采用无密码化对于加强安全项目至关重要。Capital One首席技术风险官Andy Ozment 分享了Capital One 的一些无密码实践：
 

1、无密码意味着向员工发放 X.509 证书和FIDO2密钥。实施过程中的挑战包括需要确保硬件支持无密码身份验证，同时还需规避 Apple 的一些政策壁垒。
 

2、给厂商们带来巨大困扰的是iOS系统。苹果强制要求私钥必须与云钥匙串同步，这是个厂商们无法解决的棘手问题。另一个意料之外的挑战是让微软和 Citrix 等虚拟桌面基础设施供应商启用 FIDO2，但现在支持范围已经更加广泛了。
 

3、 “无密码”一词会误导用户，“无密码”并不是不用密码直接登录，仍然需要输入 PIN 或某种形式的身份验证才能登录。所以拥有一个强大、有能力、集中的身份和访问管理团队也很重要，同时要持续开展用户教育。

 

攻击面管控：云环境精细化治理
 

除了“无密码化”，减少攻击面是加强安全程序的另一个重要步骤。实现此目标的一种方法是将所有资源存储在一个云环境中。亚马逊网络服务 (AWS) 是 AWS 资源的基础，它是一种选择。
 

AWS大型账户犹如安全火药桶，同时治理也很困难，过度宽松的IAM角色权限将成攻击者跳板。拥有较小的账户可以“缩小影响半径”，如果发生入侵，较小的账户可以限制攻击者访问更广泛的企业环境。因此Ozment建议企业应该从小规模做起，在迁移过程中实施风险优先策略，从高风险业务开始逐步推进账户拆分。
 

最后就是利用AWS Control Tower自动化治理，正如Ozment所说：“接下来，你需要自动化、自动化、再自动化，”

 

 

面对复杂威胁，企业需以平衡策略统筹技术部署与风险管理，借鉴Capital One渐进式无密码化路径及AWS集中化思路，通过自动化优先原则构建弹性安全体系，在用户体验与防护强度间寻求可持续平衡。